我国个人信息保护的立法回应与展望

禹 竹 蕊

(中共四川省委党校 党史党建教研部，成都 610072)

在信息社会，信息成为交往互动的第一要素，信息流动是人与人、人与社会相互增进了解、建立良性互动的必要前提。信息在很大程度上不再只是一种资源，更是一种重要的生产力要素。“互联网+”以及“大数据”的迅速崛起，强势地改变了传统的社会治理模式，也丰富了公共管理的方式与技术。(1)2015年，国务院发布的《促进大数据发展行动纲要》指出：“信息技术与经济社会的交汇融合引发了数据迅猛增长，数据已成为国家基础性战略资源，大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”随着信息共享于社会各个领域，社会治理的整个流程都充斥着信息的传递、交换和互动，信息在为人们提供服务的同时也转化为一种规制方式，诸如强制披露、“黑名单”制度、违法信息的行政公告等，典型的信息规制开始被公权力机关广泛应用到社会治理中。基于此，信息的收集与利用越来越受到重视，信息的价值尤其是巨大的商业价值越来越得到彰显。而大数据挖掘技术和算法让信息的收集和分析变得越来越详尽，也越来越精准，很多在以往不会进入公众视野的个人信息开始频繁出现在各种公共平台，并成为数据的一种，被运用到各种交往活动和商业往来中。

近年来，我国大数据行业相对处于一种“野蛮生长”的状态，非法采集、非法使用问题特别严重，从数据的采集、流通、交换到应用和交易，几乎每个环节都存在数据流失和泄露的现象，尤其在个人信息不断变为数据时，个人往往对于自己的信息失去控制深感无力。而这些包含个人信息的数据一旦流失和泄露，在很大程度上使下游的违法犯罪具备了实现的可能[1]。由此，个人信息安全与个人信息保护成为倍受关注的领域。从微观层面看，个人信息保护涉及个人信息安全，直接关系到个人的工作和生活；从宏观层面看，个人信息保护与国家网络安全相连，直接影响到国家互联网经济的未来发展与走向。当前，如何解决个人信息保护与大数据采集、应用之间的矛盾和冲突，已经成为学术界和实务界迫切需要解决的一大难题。2021年1月1日正式实施的《民法典》对此予以积极的回应，从而加大了数据共享中对个人信息的保护力度。

一、个人信息概念的界定标准、时代价值和权利属性

(一)个人信息概念的界定标准

检视我国现有立法和司法解释及相关制度，关于个人信息概念的界定和内容表述存在一定的差别。《网络安全法》第76条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”我国首个关于个人信息保护的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》将个人信息定义为：“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。”而我国《民法典》第1034条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”虽然上述个人信息规定并不完全一致，但无一例外在对个人信息概念界定时都明确两大指向：个人可识别和与身份相关联。

1.个人可识别

所谓个人可识别，是指某项信息本身带有一定的特殊性，可以通过该项信息识别出特定的自然人。简而言之，就是通过这一信息可以识别到信息主体。但需要明确的是，不能机械地将“可识别”理解为能够识别出自然人的整体，只要可以识别自然人的身份或者某一身份要素，甚至能识别出用户使用的设备标识，也叫做“可识别”。个人信息的内涵比较宽泛，一般认为可识别性是法律所要保护的个人信息的核心要素，不可识别的个人信息并不落在《民法典》个人信息保护的射程之内[2]。亦即个人可识别这一判断标准，排除将所有与个人相关的信息都纳入个人信息的范畴，旨在兼顾促进信息的流动和对个人信息的精准保护。

2.与身份相关联

大数据技术和算法日新月异，通过处理每一个网络用户在使用互联网服务时产生的海量操作数据，便能抽离出与用户个人相关的各种信息。这些信息中有一些信息直接与个人身份相关联，如个人的通话记录、出行记录、位置信息、网络ID、浏览记录等，都是特定的自然人在特定的活动当中产生的与其身份相关联的信息，通过它们可以轻松识别出特定的信息主体，当然属于个人信息[3]。

总之，在信息社会，信息的大量和过度开发，导致个人信息特别是网络环境中的个人信息往往不再是“个人 + 信息”的简单组合，而是表现为一种集合性信息，是与大数据发生勾连的信息集合体。当我们判断某个信息是否属于法律所保护的个人信息时，要以上述两个标准进行界定，不能任意扩大个人信息保护的范畴，否则不利于信息的流动。

(二)个人信息的时代价值

在信息社会，信息技术和信息产业在社会发展中的比重大幅增加，并逐渐在经济发展中占据主导地位，信息的生产、应用和保障不断加强，从根本上改变了人们的价值观念、行为模式和生活方式。基于此，个人信息凸显出鲜明的时代价值。

1.商业价值

个人信息的挖掘和商业使用改变了传统的营销模式，大数据通过收集用户的年龄、性别、兴趣爱好、消费习惯、满意测评等个人信息形成各种类型的个人信息库，加以算法分析并定向广告投放，为人们提供更好的产品和服务[4]。一些商家和网络平台利用大数据挖掘浏览记录、网购记录等个人信息，经过算法分析后，不断向网络用户推送其可能感兴趣的商品，以增加交易机会。挖掘个人信息进行定向销售和精准服务，已经成为一种非常普遍的现象。可以说，挖掘个人信息在一定程度上意味着挖掘潜在的巨大商机，以至于近年来信息业者和企业都在竭力开发和利用个人信息创造商业价值。

2.公共管理价值

在信息社会，随着数据共享的日渐广泛化，个人信息表现出一定的 “公共性”，政府本着公共福利默认和允许对个人信息进行充分收集、分析和使用[5]。致力于公共管理、提升公共安全、提高公共福祉，是政府必须承担的职责，而这一切都离不开对公民个人信息的掌握。尤其是治安防控、风险评估与预防、违法调查和犯罪侦查、反恐防暴、应急处突等公共管理活动的顺利进行，都需要海量的个人信息作为支撑。借助现代信息技术，政府可以更加充分地发掘个人信息的公共管理价值，通过统计学、数据分析，更为及时和准确地了解社情民意，提高科学决策的水平，提高行政效率，更好地推进公共管理和公共服务[6]。因此，个人信息的公共管理价值日渐显著。

(三)个人信息的权利属性

1.个人信息与经济利益挂钩

在信息社会，信息是一种资源，也是一种新的生产要素，可以创造巨大的利润。个人信息也蕴含着巨大的商业价值，因而被信息业者和相关企业争先收集和利用。即便个人信息没有直接表现为一项财产，也在很大程度上与经济利益挂钩，呈现出财产的属性，这与信息主体是否意识到或者是否真正将其当作财产无关。

2.个人信息体现一定的意志支配力量

个人信息内涵丰富，与个人的财产、健康、名誉等相连。严格意义上说，个人信息并不具备排他性和独占性，信息主体在一定条件下可以与他人共享个人信息，即便是隐私，信息主体也可以自由决定是否告诉他人。但根据《民法典》规定，对个人信息的处理需要征得信息主体或者其监护人(如果信息主体不是完全民事行为能力人)的同意；(2)参见《民法典》第1035条、第1038条。而信息主体除了可以查阅、复制自己的信息外，也可以要求信息处理者及时删除其个人信息，还可以提出异议并要求更正错误信息。(3)参见《民法典》第1037条。这充分说明信息主体对于自己的个人信息具有意志支配的力量。

综上所述，个人信息具有权利属性，此权利的核心在于信息主体对其个人信息的意志支配，包括决定个人信息的占有和使用，进而使个人信息呈现出一定的自主价值和使用价值[7]。而《民法典》之所以采用个人信息保护而非个人信息权的表述，是为了避免对个人信息形成绝对权利的误解。如果将个人信息作为一种人格权，这种保护显得过于严格，不符合信息社会对信息合理流通与交换共享的要求。(4)2020年10月，党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出：“扩大基础公共信息数据有序开放，建设国家数据统一共享开放平台。”只有涉及隐私的个人信息被侵犯，才涉嫌侵犯人格权。信息社会的发展要求信息主体的利益与信息共享利用之间的关系平衡，单纯只考虑个人信息保护而忽视大数据产业的发展不仅有违社会现实，而且也不利于社会进步。

二、信息社会个人信息保护的难题

在信息社会，个人信息的价值愈发凸显，其应用领域越来越广泛，大数据分析、算法也越来越精准，以往建立在“事先同意、目的明确、有限使用”原则上的个人信息保护制度，在实践中不断遭遇困境，从而使个人信息的安全与保护变得越来越重要。可以说，在信息社会，各国个人信息保护普遍存在“现象级”难题。

首先，现代社会社会交往的广泛性和便利性以及交往空间的不断转换，使得个人信息复杂多元和变化难测，呈现出多维度的特点。加之大数据技术的采集和处理，使得个人信息从原始态到再加工态，其信息形态更加模糊、数据控制者可追溯性难度加大[8]。而且个人信息作为一种权利，不但折射出财产属性，也与个人意志支配相连，其中涉及隐私的那部分个人信息还牵扯到人格权的问题，所以厘清权利保护问题绝非易事。其次，信息社会需要信息流动交换，整合大量信息作为大数据推动信息产业发展，个人信息在社会发展的趋势下，势必在权利领域有一定的缩限。其中，不能忽视的是个人信息与数据、政府信息的耦合叠加难题。

(一)个人信息与数据的耦合

在大数据模式下，信息产业主要依靠数据挖掘创造价值，个人信息在信息主体与各种信息收集系统的互动之间逐步被开发、挖掘。个人信息经由大数据技术被采集处理后往往会与数据耦合，其聚合效应远远高于单纯的个人信息的价值。当数据成为个人信息的重要载体且两者之间的耦合呈现动态变化时，个人信息保护便增添了很多不确定性。无法否认，数字经济有着完全异于传统经济的发展路径和逻辑，大数据模式的迅猛发展并不以明晰的产权界定和权利确认为前提，而是以法律关系的模糊性和法律措施的权宜性为代价。数据归属这个最基本的权利问题没有得到解决，建立其上的其他权利问题就更难厘清。现实是全世界都在规避这个难题[9]，各国关于个人信息保护的理论也难以统一。目前，人格权说、基本权利说、私人生活权说、数据保护说、信息自决权说、信息保密性和系统完整性权利说等理论争鸣层出不穷，尽管这些理论都赞同对个人信息进行保护，但它们的保护目的显然并不一致，保护的强度和广度也有差别。鉴于个人信息保护的基础理论尚未完全明晰，各国都倾向采取简单的“全面预防”态度[10]。正是因为个人信息与数据的耦合，使得个人信息的传播途径和传播过程愈加纷繁驳杂，很多传统的规制方式在网络虚拟空间或电商环境中难以真正落地贯彻，其结果就是立法很难作出及时回应，要么凌乱不成体系，要么大而全过于笼统不够精细，我国“个人信息保护法”也因此迟迟不能出台。

(二)个人信息与政府信息的耦合

政府及其职能部门在行政管理过程中，因为履职需要会大量采集个人信息并制作、记录或保存，进入这一管理流程的个人信息也就同时转化为了政府信息。(5)《政府信息公开条例》第2条规定：“本条例所称政府信息，是指行政机关在履行行政管理职能过程中制作或者获取的，以一定形式记录、保存的信息。”质言之，某些成为政府信息的信息对于自然人而言依旧是个人信息，不可避免具有双重属性，且存在矛盾与冲突。首先，很多时候政府及其职能部门收集个人信息并不需要遵循所谓“知情同意”的前提，无须向个人公开其收集和使用规则，也无须明示收集、使用个人信息的目的、方式和范围，这与个人信息的“信息自决权”冲突，与个人信息保护的逻辑相悖[11]。其次，政府信息公开旨在发挥政府信息的服务功能，遵循“公开是常态，不公开是例外”的原则，除非个人信息涉及隐私，否则都要公开。但自然人的个人信息内涵相当丰富，隐私只是其中很小的一部分，没有谁希望自己的个人信息被公诸于众，这又形成一对悖论。必须承认，个人信息不仅应该得到其他民事主体的尊重，也应该得到国家公权力机构的尊重[12]。当同一个信息既是政府信息又是个人信息时，如何在公共管理与私权保障之间寻求平衡，如何合理地实施个人信息保护，绝非易事。

三、《民法典》对个人信息保护的进路

快捷的生活节奏、便利的交往方式，是个人“心甘情愿”让渡信息使用权的重要原因。一方面，我们期待更便捷、性价比更高的服务；另一方面，在大数据技术和算法面前，我们变得越来越透明，有时候甚至毫无隐私可言。不论是公共部门还是私营部门，一旦掌握大量的个人信息，就都存在滥用或侵犯个人权利的可能[13]。切实保护个人信息，不仅是自然人在信息社会的现实需求，也是国家信息产业良性发展的必然要求。《民法典》对此予以回应。

(一)《民法典》的立法思路

尽管数据与个人信息之间不能划等号，但个人信息转化为数据继而实现共享已经成为一种常态。如何在互联网经济和信息产业飞速发展及数据共享从区域走向全球化的今天加强个人信息的法律保护，是当今世界各国高度关注的问题。毕竟，个人、信息业者、网络营运商和政府针对个人信息各有诉求，商业价值和公共管理价值在个人信息上交织杂糅。个人信息保护的立法应该是认识利益、表达利益的过程，以及妥善处理个人、信息业者、网络营运商和政府的关系，其核心是既保障个人自由全面的发展，又顺应信息社会对大数据、信息技术发展的需求，从而实现个人信息商业价值与公共管理价值之间的平衡。简言之，个人信息保护制度本质上要建立起一套有关个人信息正当利用的规则，既保护个人信息主体权利，又保护信息主体的信息自决权，同时承认信息控制者合法利用个人信息的权利，通过协调和解决利益冲突促进合作。

党的十九届四中全会、十九届五中全会对大数据、信息产业发展以及个人信息保护提出明确要求。(6)党的十九届四中全会明确要求：“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则。推进数字政府建设，加强数据有序共享，依法保护个人信息。”党的十九届五中全会通过《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》，一方面强调“推动互联网、大数据、人工智能等同各产业深度融合”，另一方面也强调“保障国家数据安全，加强个人信息保护”。可见，我国正积极探索通过制度创设，为个人信息在当前信息技术和经济社会发展大背景下找准落脚点，认清个人在信息社会的位置，让个人有效参与到发展中，形成良性互动，从而避免沦为各种营运商攫取利润的工具。正是从“立足个人信息保护与数据流动之间的平衡”这一思路出发，《民法典》首先将个人信息保护与隐私权进行划分，两者虽然同属“人格权”编，但个人信息保护具有独立性，并未附属在隐私权下。《民法典》承认个人信息与隐私之间的勾连甚至一定程度的竞合，但基于两者权利属性、权利客体、权利内容、保护方式等的差异，采取不同的制度安排，以期更好地对两者分别予以保护。(7)负责主持《民法典》编纂工作的王利明教授曾在起草期间撰文专门论述这个问题，参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期。

(二)《民法典》的具体设置

《民法典》关于个人信息保护规定主要集中在三个部分：(1)在总则编第五章“民事权利”部分，规定民事主体对数据(8)由于个人信息与数据有一定的交叉，这里的数据包括转化为数据的个人信息。和虚拟财产享有合法权益；(9)参见《民法典》第127条。(2)在人格权编第六章“隐私权和个人信息保护”部分，规定个人信息与隐私受法律保护，并对个人信息的定义、内涵、收集、更改和删除等作出规定；(10)参见《民法典》第1034～1039条。(3)在侵权责任编第三章“责任主体的特殊规定”部分，规定网络侵权责任，包括删除有关信息。(11)参见《民法典》第1194～1197条。上述规定明确个人信息的定义和内涵、处理个人信息的原则、信息主体的信息自决权，也明确信息控制者(12)信息控制者是指实际获取信息、控制信息、处理信息的主体，包括信息业者、网络营运商和政府。的责任，对个人信息形成了比较体系化的保护。

1.个人信息的定义和内涵

如上文所述，《民法典》第 1034 条明确个人信息的定义和内涵，与隐私有所区分。

2.处理个人信息的原则

《民法典》第 1035 条明确处理个人信息的基本原则：个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。(1)合法正当。这一原则要求信息控制者对个人信息处理无论是目的还是行为都要遵守法律政策、尊重社会公德、遵守商业道德，符合服务经营的正当性。(2)明确用途。对于待处理的个人信息，除非法律法规另有规定，信息控制者原则上应该明确告知信息主体处理目的、方式和范围以及处理的规则，以便信息主体作出同意与否的选择。即便得到信息主体的同意，信息控制者也不得违反法律规定或约定，擅自对个人信息进行其他方面处理。

3.信息主体的信息自决权

实际上，大部分自然人不了解大数据挖掘技术和算法，面对信息控制者给出的选择，并不能作出专业的判断，以至于让渡个人信息使用权后，也不知道个人信息在流转过程中是否得到有效保护。为避免信息主体合法权益遭受不必要的损害，《民法典》第1035 条、第1037条规定了信息主体的信息自决权。(1)知情权。知情同意是信息主体的核心利益，不可让渡。知情权是确认自然人对个人信息享有意志支配权(信息自决权)，即谁收集我的个人信息、这些个人信息储存在哪里、未来因何目的用在何处或与谁分享，信息主体应当有权知道。这要求信息控制者事先必须以清晰、准确、易懂的用语，及时、全面、明确地告知信息主体处理其个人信息的目的、方式、范围和处理规则，确保信息主体知情权得以实现。(2)同意权。信息主体享有的信息自决权实质上是个人信息自主价值的体现，但这种自主价值的实现本身存在悖论。一方面，个人为自身发展和生活便捷渴望得到更多信息；另一方面，却又不愿意自己的个人信息被别人轻易获取。要解决这对矛盾，关键是赋予信息主体同意权，即明确告知信息控制者，信息主体有权选择同意或者不同意。只有信息主体通过明确的意思表示或行为选择“同意”，信息控制者才能处理其个人信息。如果没有经过信息主体同意，不得以欺骗、误导或者胁迫等方式处理其个人信息，也不得以违法或者违约的方式处理其个人信息。(3)要求更正权。信息主体有权查阅自己的个人信息，发现错误可以要求信息控制者修改，发现缺失可以要求其补充。(4)被遗忘权。被遗忘权发肇于欧盟的 《数据保护指令》(DPR)，(13)2012年11月欧盟出台《数据保护指令》(DPR) 修正案，首次确立“被遗忘权”，规定“信息主体有权要求数据控制者删除与其个人相关的资料信息，数据控制者除有合理正当理由外，必须进行删除”。是指信息主体在特定条件下有权要求信息控制者删除其个人信息，从而避免这些信息被进一步传播[14]。被遗忘权充分体现信息主体对信息的自决权，信息主体在特定情况下可以要求删除一切能够识别其身份的个人信息(包括隐性数据和显性数据)，确保自主收回个人信息或终止享有便捷服务的机会[15]。

4.信息控制者的责任

有人认为技术本身没有对错，网站只是传播介质，因而主张“技术中立、平台无责”。然而，不论是信息业者还是网络营运商，相当一部分人利用大数据挖掘技术和算法获取和处理个人信息是为谋取利益。《民法典》肯定《移动互联网应用程序信息服务管理规定》的相关要求，(14)2016 年6月，国家互联网信息办公室发布的《移动互联网应用程序信息服务管理规定》明确指出，要明示收集使用信息的目的、方式和范围，并经用户同意；依法保障用户在安装或使用过程中的知情权和选择权；未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序等。通过第1038条、第1039条、第1194～1197条对信息控制者的责任予以明确，排除他们用“技术中立”“传播介质”“算法无错”作为拒绝承担责任的借口。(1)告知义务。信息控制者承担的告知义务对应的是信息主体的知情权，信息控制者必须如实告知收集原因、收集方式、储存方式、使用目的、使用范围、使用期限、分享对象等，从而确保信息主体知情权的实现。即便已经得到信息主体明确同意，信息控制者因故要改变使用目的、使用范围、分享对象等，也需要及时告知信息主体，重新征得其同意。此外，当网络侵权发生时，信息控制者还承担“双向通知”义务，即将权利人提交的遭受侵权的通知转送网络用户，同时也将网络用户提交的不存在侵权行为的声明转送发出通知的权利人，以便权利人进一步采取维权措施。(2)安全保密义务。对依法收集的个人信息，信息控制者必须严格保密，防止泄露、毁损、丢失，确保信息安全。信息控制者不得随意篡改收集的个人信息，未经信息主体同意，也不得向他人非法提供个人信息。政府机构及其工作人员对于履职中知悉的个人信息应当予以保密，不得泄露或非法向他人提供。(3)侵权责任。如果信息控制者没有依法履行安全保密义务，或者已知信息主体的个人信息受到安全威胁(包括信息主体以通知的方式主动告知)却没有及时采取法定措施阻止侵权行为的，信息控制者要承担相应的侵权责任。

四、个人信息保护立法的展望

大数据发展关系到个人权益的保障，深刻影响数字产业、信息产业的发展模式与方向，涉及国家产业政策的调整和法律制度的架构。遗憾的是，迄今为止我国针对个人信息保护尚未建构起完整、系统、条理清晰的法制体系。在个人信息保护立法长期缺位的情况下，《民法典》努力根据信息社会的发展和要求作出回应，积极填补立法空白，为立法的发展留下空间，具有一定的进步意义。然而，尽管《民法典》搭建起一定的制度框架，使得个人信息保护的指向性明确，但在法律制度设计上却有明显的缺陷：操作性不强，在实践运用中甚至会陷入一定的制度困境。

首先，相对自然人，信息业者和网络营运商享有天然的技术资源优势，他们在信息交换互动过程中往往会选择对自己最有利的技术手段，并且将“take it or leave it contracts”(要么接受服务，要么离开)作为网络合同的模式。很多时候，为享有所谓的便捷服务，信息主体不得不违心地让渡个人信息使用权，知情同意显得格外苍白。其次，即便信息控制者告知信息采集的目的、用途等，自然人却往往囿于各种因素，无法对其个人信息的具体处理情况进行核实，对于那些隐藏在暗处的侵权活动几乎一无所知。最后，尽管《民法典》对网络侵权责任予以规定，但对于信息主体而言，要举证证明侵权事实的存在以及证明网络服务提供者应该承担连带责任，显然并非易事。(15)根据《民法典》第1097条，网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。但实际上，信息主体很难证明网络服务提供者知道或者应当知道。倘若侵权人并非利用网络侵犯自然人的个人信息，信息主体很可能会被一直蒙在鼓里，更遑论主张权利。当然，从全球实践看，还没有任何一个国家将民事法律作为个人信息保护的主导规范，我国的《民法典》也不可能完全承担起这样的重任。毕竟，个人信息保护涉及科技、金融、政治、国家安全等不同领域，涵盖民法、行政法、刑法、国际法等诸多法律部门，《民法典》无法也不能僭越，只能作出一些比较基础和原则的规定，要想真正走出制度的困境，还需要完善配套制度，需要科技、民事、行政、刑事等多种手段综合发力。

个人信息保护的紧迫性呼吁加强相关立法，仅靠一部单一的部门法难以实现有效保护，需要民法、行政法甚至是刑法形成合力[16]。未来，我国学术界和实务界应该携手共同研究“个人信息保护法”，促进个人信息保护研究更为深入和精细化，力争早日出台“个人信息保护法”，体现对公民权利的尊重和保障，对公共利益的强化和推进，以及对新兴产业发展的重视和引领[17]。同时，加大对政府利用个人信息的管控，要意识到个人信息法律保护制度的发展始终伴随着对政府权力的限制，政府不能肆意收集和利用个人信息；即便在应急处突中依据比例原则可以适度放宽，政府对个人信息的利用也要符合比例原则，不能侵犯公民的人格尊严；还要建立严格的内控制度，防止政府内部人员泄露和违法使用公民的个人信息，一经发现必须严惩[18]。